对等保2.0的理解

一.什么是等级保护

信息安全等级保护，是我国网络安全领域的基本国策、基本制度。早在2017年8月，公安部评估中心就根据网信办和信安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《信息安全技术 网络安全等级保护基本要求》一个标准。等级保护是一个全方位系统安全性标准，不仅仅是程序安全，包括：物理安全、应用安全、通信安全、边界安全、环境安全、管理安全等方面。

1.物理安全

机房物理访问控制、防火，防雷击，温湿度控制、电力供应，电磁防护。

2.应用安全

应用具备身份鉴别、访问控制、安全审计、剩余信息保护、软件容错、资源控制和代码安全。

3.通信安全

包括网络架构，通信传输，可信验证。

4.边界安全

包括边界防护，访问控制，入侵防范，恶意代码防护等。

5.环境安全

入侵防范，恶意代码防范，身份鉴别，访问控制，数据完整性、保密性，个人信息保护。

6.管理安全

系统管理，审计管理，安全管理，集中管控。

二.等保2.0

随着信息时代的高速发展，我国的等级保护也从等保1.0时代进入到了等保2.0的时代。等保2.0是指在网络安全领域中，采用了基于风险管理的网络安全等级保护制度。它的提出，旨在推动企业信息系统等级保护制度实施的深入推进，并要求信息系统安全保护达到与所处安全等级相适应的要求。实施对等保2.0，将有利于构建更加稳固的网络安全防线，提高网络安全的整体水平，为信息基础设施和关键信息系统的安全提供更加有力的保障。等级保护分为五个级别，级别越高，安全性越好。

1.等保一级

等保一级为“用户自主保护级”，是等保中最低的级别，该级别无需测评，提交相关申请资料，公安部门审核通过即可。

2.等保二级

等保二级为“系统审计保护级”，是目前使用最多的等保方案，所有“信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。”范围内网站均可适用，可支持到地级市各机关、事业单位及各类企业的系统应用，比如：网上各类服务的平台（尤其是涉及到个人信息认证的平台），市级地方机关、政府网站等等。

3.等保三级

等保三级等为“安全标记保护级”，级别更高，支持“信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。”范围，适用于“地级市以上的国家机关、企业、事业单位的内部重要信息系统”，比如省级政府官网、银行官网等等。三级等保也是我们能制作的最高级别等保网站。

4.等保四级

等保四级等保适用于国家重要领域、涉及国家安全、国计民生的核心系统，比如中国人民银行就是目前唯一四级等保的中国央行门户集群。

5.等保五级

等保五级等保是目前我国最高级别，一般应用于国家的机密部门。

等保2.0提出新的技术要求和管理要求，强调“一个中心，三重防护”，关键点包括可信技术、安全管理中心，以及云计算、物联网等新兴领域的安全扩展要求。对应地，企业在安全防护体系建设、风险评估和管理上需要更加全面，并需关注所在行业的安全要求和定级标准。

对等保2.0在理念上强调了对信息系统安全等级保护的风险评估与管理。企业在实施对等保2.0时，需要进行全面的风险评估，对系统安全等级的划分不再是单纯依据技术参数和技术手段的实施程度，而是需要根据系统所承载的业务功能和信息资产的重要性，结合可能面临的各种威胁和风险情景来进行全面、深入的评估，以便更加科学、合理地划定系统的安全等级要求。

此外，对等保2.0注重对安全管理的全生命周期控制。企业在实施对等保2.0时，不仅要关注信息系统的建设和运营阶段，还需要重视安全管理在信息系统生命周期中的规划、设计、开发、测试、维护等各个环节，确保系统安全管理措施的全面贯穿于整个信息系统的生命周期，以做到系统的安全防护能够跟随系统功能和业务需求的变化而动态调整。

总的来说，对等保2.0的提出代表了中国网络安全体系建设的一大进步，其理念和要求的实施将有助于提升网络安全防护的科学性和有效性，为企业和社会信息系统的安全提供更加有力的保障。因此，企业需要深入理解对等保2.0的核心理念和实施要求，积极融入到自身的信息系统安全管理中，以应对不断变化的网络安全威胁和挑战。